|
|
楼主 |
发表于 2005-3-1 21:26:33
|
显示全部楼层
这儿有些安装以后生成的help.chm上传不了附件,只有一点一点来了
STAR Supplicant
传统的以太网具有开放的特性,用户只要连接到网桥上,就可以通过网桥进入任何网络服务。IEEE 802.1x标准在IEEE 802网络结构的基础上,定义了一种基于工作站/服务器模式的输入控制机制和认证协议,约束网络服务只向那些允许进行访问的用户提供,克服传统网桥的安全性弱点。该认证机制可以使用在包括IEEE 802.1D网桥,IEEE 802.11无线网络等典型网络类型中。
1.1.0 角色说明
我们可以用下图来说明IEEE802.1x典型应用的角色分类:
图中可以看到恳请者、认证者、认证服务器三个角色。下面分别对这三个角色的职责、基本工作原理以及推荐使用的软件等进行详细说明。
1.1.1 恳请者(Supplicant)
恳请者即IEEE802.1x标准描述中的Supplicant,是最终用户所扮演的角色。它请求对网络服务的访问,并对认证者的协议请求报文进行应答。恳请者必须运行符合IEEE 802.1x客户端标准的软件,目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持,另外,实达公司推出的STAR Supplicant软件也符合该客户端标准。
1.1.2 认证服务器(Authentication Server)
认证服务器是最终用户的认证服务的实际提供者。它认证用户的身份并将认证结果通知认证者。服务器必须是支持扩展EAP(Extensible Authentication Protocol)协议的RADIUS(Remote Authentication Dial-In User Service)安全系统。典型的服务器软件如Windows 2000 Server操作系统自带的IAS服务(Internet Access Service)。
1.1.3 认证者(Authenticator)
认证者控制恳请者对网络服务的访问。它实际在认证过程中只是一个认证信息交换的途径,负责与恳请者通信,将恳请者的认证请求发往认证服务器,而后根据认证服务器的指示执行对恳请者的授权。 认证者一般为交换机等接入控制设备。此时交换机除了支持IEEE802.1x规定的Authenticator标准,还必须支持RADIUS Client。恳请者和认证者之间通过EAPOL协议交换信息,而认证者和认证服务器通过RADIUS协议交换信息。当收到恳请者发来的EAP的报文,如果要往认证服务器转发,认证者就将其中的报文实体封装到RADIUS报文中,即转换成认证服务器认识的报文,而后再转发给服务器。同样,认证者收到认证服务器发来的要往恳请者转发的RADIUS报文时,也要将其转换成恳请者认识的EAP报文再转发给恳请者。通过这种转换,保证了认证过程的正常执行。实达公司的S1924F+完全符合IEEE802.1x标准对认证者系统的要求,为用户提供了完善的IEEE802.1x安全认证解决方案。
1.2 认证过程
触发认证过程可以有两种可能。其一,当交换机刚上电,或者交换机探测到端口状态从未连接改变为已连接时,交换机将发送一个EAP-request/identity报文给客户端,请求回应,此时客户端应回送一个EAP-response/identity报文以表示可以开始后续的认证过程。其二,如果用户的PC上电后没有收到交换机发来的EAP-request/identity,则用户可以从恳请者客户端程序发送一个EAPOL-STAR报文,交换机收到这个报文后,将按照上述从交换机发起的过程,发送一个EAP-request/identity报文给客户端,客户端再回送一个EAP-response/identity报文,开始后续的认证过程。 在客户端发送了EAP-response/identity报文后,交换机就开始其认证信息交换途径的功能,为客户端和认证服务器转发认证报文。如果认证成功,交换机将允许该用户使用网络,否则,用户将无法正常使用全部网络服务。另外,交换机还可以根据超时时间设定,定时要求认证重新进行,以保证用户实时性。用户如果需要退出认证状态,可以发送一个EAPOL-Logoff报文通知交换机,交换机收到此报文后,将自动将此用户从认证状态中退出。
下面,我们用示意图来表示一个典型的认证过程中的报文交互,以帮助大家理解IEEE802.1x标准的工作过程。 |
|
IP卡
狗仔卡
发表于 2005-2-28 17:50:33
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡